小毒一枚，就是格式有点怪

lbb9432

完整路径: c:\users\lbb9432\desktop\jwgkvsq.vmx
威胁: W32.Downadup.B
____________________________
____________________________
在电脑上的创建时间 不可用
上次使用时间 2012/5/25 ( 23:29:44 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
http://bbs.kafan.cn/forum.php?mo ... DQ5MDQzOHwxMjk1MTMw 已下载文件jwgkvsq.vmx
威胁名称:
W32.Downadup.B自
bbs.kafan.cn
____________________________
文件操作
文件: c:\users\lbb9432\desktop\jwgkvsq.vmx
已删除
____________________________
文件指纹 - SHA:
859b5c977c27fd8c1a532aedc6cc6ecdf7ef0d105ab44468519535954a241cfd
____________________________
文件指纹 - MD5:
16acf30169d089b8a967f40d9a38d8f7
____________________________

firethreat

老家伙？http://bbs.kafan.cn/thread-589676-1-1.html

275751198

类似于dll属于现在U盘写自动运行和优先加载，然后就像加载dll一样被加载。有专杀工具的

zhou0197

小丑鱼ZZW 发表于 2012-5-25 23:01
请问该样本是怎么运行的？双击？还是自动会...

是通过autorun.inf，不过是一个很诡异的autorun.inf。

一般的autorun.inf不到1KB，conficker的有50几KB，而且记事本打开看不到代码，全是加密的。

gaojun7206

该站点包含被感染的代码：Win32.Worm.Downadup.Gen (引擎A), Win32:Confi [Wrm] (引擎B)。

hx1997

小丑鱼ZZW 发表于 2012-5-25 23:01
请问该样本是怎么运行的？双击？还是自动会...

应该是有个 EXE 的 dropper，dropper 释放出这个 DLL，然后写入 autorun.inf 并替换一个系统服务的 DLL 路径，使 svchost.exe 在每次系统启动时加载这个 DLL 并执行恶意代码。

不同变种的行为略有不同。

，就一个.

BD启发拦截 病毒信息在下面
STOP! Bitdefender blocked this web page.





The page you are trying to access contains malware.


Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... ;aid=MTY1OTMwN3x...
Detected viruses: Win32.Worm.Downadup.Gen



Access from your browser has been blocked.

Take me back to safety




目前已发现此类病毒有Win32.Worm.Downadup病毒，“扫荡波”病毒亦属此类病毒，据说其危害性不亚于冲击波病毒，还没有安装此更新的朋友就要赶快安装了，未雨绸缪才能避免损失和减少不必要的麻烦。我单位的局域网也已被此病毒占领了大半江山，中毒机器动弹不得，杀毒软件光叫而不能杀之。

，就一个.

BD启发拦截，下面是病毒介绍... BitDefender实验室发现了一个新版本的蠕虫病毒名为Win32.Worm.Downadup.B 。具体来说，该蠕虫使用USB拇指驱动器来感染其他计算机，并创建一个Autorun.inf文件在根文件夹中，当自动运行功能启用，该蠕虫会自动执行。某些TCP连接功能也被阻止，病毒会过滤包含安全相关的网站地址的字符串，以至不能连接这里网站，据BitDefender说，这使得它难以消除，因为关于它的资料几乎是不可能从被感染的计算机收集， 更重要的是，此蠕虫删除所有的访问权限的用户，但除执行的情况外，使其达到保护自身的目的。 　　中毒症状：局域网内多台机子出现文件名为X的win32.downadup病毒，该病毒位于system32目录下，故障现象为单机网络中断，重启系统后正常十几分钟，然后中断现象又再出现，甚至会死机，同时杀毒软件会报IE缓存文件夹下有随机名称的jpg bmp gif 文件有毒，甚至会报system32目录下的svchost.exe有毒。

Love=卡巴+费尔

870097067

小丑鱼ZZW 发表于 2012-5-25 23:00
哦哦，是买的还是试用，另外正好帮我测下吧，你下载到本地然后测下右击试试，主要我想看下是不是试用版 ...

買的，試用版不會有限制的，不然就不叫試用版了而叫精簡版了。你不給別人使用怎麼會有人購買你的產品呢？